Update 2.3 -> 2.3.1 ohne Internetzugang

stack

Moin,

hat jemand eine Idee wie ich das Updatefile pfSense-CE-Full-Update-2.3.1*.tgz ohne Internetzugang der Firewall mit 2.3 einspielen kann?
Über den Menüpunkt Update geht es nicht und per shell via

/etc/rc.firmware pfSenseupgrade /root/firmware.tgz

geht auch nicht, da /etc/rc.firmware nicht existiert.

jahonix

Das Problem werde ich in Zukunft sicherlich auch öfter haben. Eine Idee habe ich auch noch nicht.

JeGr

Hi stack,

das Update File ist für Updates von <2.3 Versionen, die noch via TGZ Full Install aktualisiert wurden. Ab Version 2.3 wird Internetzugang oder zumindest ein Zugang via Proxy benötigt um das System zu aktualisieren. Etwas anderes wäre mir gerade zumindest nicht bekannt.

Grüße

jahonix

Also doch:
-config backup
-full-install von USB Stick
-config restore

…

JeGr

Ich wüsste gerade nicht wie es ohne irgendeine Art der Verbindung gehen sollte da ja alles auf dem neuen Paketsystem basiert. Und der aktualisiert ja Einzelpakete, die er runter lädt.

Höchstens denkbar (wenn man das häufiger braucht und das zentral managed) sich nen Proxy mit Paketcache hinzustellen und den anzugeben.

stack

Jippy,

Turnschuhnetzwerk…

Könnte also höchstens ein Update vom Lifemedium aus gehen, falls es die Möglichkeit noch geben sollte.

JeGr

Auszug aus dem Changelog/Upgrade Guide:

The LiveCD platform has been removed. The ISO is a bootable installer, as always, but it cannot run a live system.
For the very few people who were still using LiveCD, if the hardware can boot from USB, install to a USB thumb drive and run from it instead.
If the options to keep /var and /tmp in RAM are active, and no packages are installed, the net result should be similar but ultimately more functional.

Aus purer Neugier: Wo setzt du denn pfSense ein, dass es keine externe Verbindung haben darf!?

stack

Hi,

ist recht prozessnah und aus diesem Grund sollen diese Segmente keinen Zugiff ins normal Firmennetz geschweige ins Internet haben.

JeGr

ist recht prozessnah und aus diesem Grund sollen diese Segmente keinen Zugiff ins normal Firmennetz geschweige ins Internet haben.

OK kann man (z.T.) verstehen. Wäre aber trotzdem denkbar, dass die Firewalls dann für ihr eigenes Update via Proxy ins Internet raus dürfen. Bei einem Server würde ich das an der Stelle ähnlich lösen (wollen).

stack

Bei einem Server würde ich das an der Stelle ähnlich lösen (wollen).

Lokale WSUS Server bzw. lokales Repository. Na mal sehen ob sich da eine Lösung finden lässt.